Coder < 2.29.17 / 2.30.x < 2.32.7 / 2.33.x < 2.33.8 / 2.34.x < 2.34.2 多种漏洞

medium Nessus 插件 ID 326280

简介

远程主机装有受到多个漏洞影响的应用程序。

描述

远程主机上安装的 Coder 版本为低于 2.29.17 、2.32.7、2.33.8 或 2.34.2 。因此,该应用程序受到多个漏洞的影响:

- 用户管理员角色可重置所有者帐户密码,从而导致权限从用户管理员提升到所有者。(CVE-2026-55077)

- 工作区应用更新插入允许通过用户控制的应用 ID 跨工作区代理重新绑定,从而实现流量拦截。(CVE-2026-55429)

- 编码器 config-ssh 命令在未审查嵌入式换行符的情况下将服务器提供的 SSH 设置写入用户的 SSH 配置,从而允许任意 SSH 配置注入。(CVE-2026-55427)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Coder 更新到版本 2.29.17 、 2.32.7、2.33.8 或 2.34.2 或更高版本。

另见

https://github.com/coder/coder/security/advisories/GHSA-29xf-69gq-m9jx

https://github.com/coder/coder/security/advisories/GHSA-75vm-6w67-gwvp

https://github.com/coder/coder/security/advisories/GHSA-9r87-mvcw-x35f

https://github.com/coder/coder/security/advisories/GHSA-9rjw-3gwp-f59v

https://github.com/coder/coder/security/advisories/GHSA-mcqq-fqgf-rxwm

https://github.com/coder/coder/security/advisories/GHSA-v54h-cp2w-9x4g

https://github.com/coder/coder/security/advisories/GHSA-wrq8-fcv5-8hvp

插件详情

严重性: Medium

ID: 326280

文件名: coder_multiple_vulns_jun_2026.nasl

版本: 1.2

类型: Local

系列: Misc.

发布时间: 2026/7/10

最近更新时间: 2026/7/13

配置: 启用全面检查 (optional)

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5

百分位: 94.14

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-55429

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2026-55431

漏洞信息

CPE: cpe:/a:coder:coder

必需的 KB 项: installed_sw/Coder

易利用性: No known exploits are available

补丁发布日期: 2026/6/12

漏洞发布日期: 2026/6/12

参考资料信息

CVE: CVE-2026-55075, CVE-2026-55076, CVE-2026-55077, CVE-2026-55427, CVE-2026-55428, CVE-2026-55429, CVE-2026-55431

IAVB: 2026-B-0188